精华内容
下载资源
问答
  • 路由器原理与应用

    2010-05-23 22:13:00
    路由器原理与应用一、路由的基本概念 路由器的网络层的设备,负责IP数据包的路由选择和转发。 1、路由类型 路由的类型有:直连路由、静态路由、默认路由和动态路由。 直连路由是与路由器直接相联网络的路由,...

             路由器原理与应用

    一、路由的基本概念
        路由器的网络层的设备,负责IP数据包的路由选择和转发。
     1、路由类型
        路由的类型有:直连路由、静态路由、默认路由和动态路由。
        直连路由是与路由器直接相联网络的路由,路由器有对直连网络有转发能力。
        静态路由是管理员人为设置的路由,网络开支小,可以有效的改善网络状况。
        默认路由是静态路由的一个特例,将路由表不能匹配的数据包送默认路由。一般在最后。
        动态路由是路由协议自动建立和管理的路由,常见动态路由协议有:
          RIP(Routing Information Protocol) 、
          IGRP(Interior Gateway Routing Protocol)、
          EIGRP(Enhance Interior Gateway Routing Protocol)、
          OSPF(Open Shortest Path First)、
          BGP(Backbone Getway Protocol)
        上述路由协议称为routing protocol,而IP、IPX称为可路由的协议routed protocol。
        也有一些协议是不可路由的,如NetBEUI协议。
     2、路由算法
        路由算法常见的有三种类型:
        距离矢量D-V(Distance-Vector) 算法,如:RIP、IGRP、BGP;
        链路状态L-S(Link State)算法,如:OSPF、IS-IS;
        混合算法,如:Cisco的EIGRP。

     3、路由交换范围
        路由器通过交换信息建立路由表,当网络结构变化时,路由表能自动维护。
        路由表跟随网络结构变化过程称为收俭。为了减少收俭过程引起的网络动荡,要考滤
        路由交换范围。
        RIP协议通过network命令指定,例如:设置10.0.0.0网络的接口参与路由信息交换
        router(config-router)network 10.0.0.0

        ospf协议通过network命令指定,例如:设置10.65.1.1 接口参与路由交换
        router(config-router)network 10.65.1.1 0.0.0.0 area 0
        area是网络管理员在自治系统(国际机构分配)AS(Autonomous System)内部划分的区域。
        0.0.0.0是匹配码,0表示要求匹配,1表示不关心。

     4、路由表
        路由表(Routing Table)是路由器中路由项的集合,是路由器进行路径选择的依据,
        每条路由项包括:目的网络和下一跳,还有优先级,花费等。

        路由优先匹配原则:
        (1)直接路由:直连的网络优先级最高。
        (2)静态路由:优先级可设,一般高于动态路由。
        (3)动态路由:相同花费时,长掩码的子网优先。
        (4)默认路由:最后有一条默认路由,否则数据包丢弃。


    二、RIP路由协议
     1、RIP协议的认识
        RIP(Routing Information Protocol)是采用D-V(Distance-Vector)算法的距离矢量协议
        根据跳数(Hop Count)来决定最佳路径。最大跳数为16,限制了网络的范围。
        单独以跳数作为距离或花费,在有些情况下是不合理的,因为跳数少不一定是最佳路径;
        实际上带宽和可靠性也是重要的因素。有时需要管理员修改花费值。

        RIP有两个版本,RIP-1 和RIP-2。
        RIP-1:采用广播方式发送报文。不支持子网路由。
        RIP-2:支持多播方式、子网路由和路由的聚合。

     2、路由表的维护
        通过UDP协议每隔30秒发送路由交换信息,从而确定邻居的存在。
        若180秒还没有收到某相邻结点路由信息,标记为此路不可达。
        若再120秒后还没有收到路由信息,则删除该条路由。
        当网络结构变化时,要更新路由表,这个过程称为收敛(Convergence)。
        RIP标记一条路由不可达要经过3分钟,收敛过程较慢。

        路由表是在内存当中的,路由器上电时初始化路由表,对每个直接网络生成一条路由。
        同时复制相邻路由器的路由表,复制过程中跳数加1,且下一跳指向该路由器。
        若去往某网络的下一跳是RouteA,若RouteA去该网络的路由没有了,则删除这一路由。
        跳数是到达目的网络所经过的路由器数目,直接网络的跳数是0,且有最高的优先级。

     3、路由环路:
        矢量路由的一个弱点就是可能产生路由环路,产生路由环路的原因有两种,
        一是静态路由设置的不合理,再一是动态路由定时广播产生的误会。
        先看静态路由设置不合理的情况:
        设两个路由器RouterA和RouterB,其路由表中各有一条去往相同目的网络的静态路由,
        但下一跳彼此指向对方,形成环路。

        再看动态路由造成的情况:
        假设某路由器RouterA通过RouterB至网络neta,
        但RouteB到neta不可达了,且RouterB的广播路由比RouterA先来到,
        RouterB去neta不可达,但RouterA中有去往neta路由,且下一跳是RouterB,
        这时RouteB就会从RouterA那里学习该路由,将去往neta的指向RouterA,跳数加1。
        去neta的路由原本是RouterB传给RouterA的,现RouterB却从RouterA学习该路由,
        显然是不对的,但这一现象还会继续,
        RouterA去neta网络的下一路是RouterB,当RouterB的跳数加1的时候,RouterA将再加1。
        周而复反形成环路,直至路由达到最大值16。

     4、解决路由环路的办法
        (1) 规定最大跳数
        RIP规定了最大跳数为16,跳数等于16时视为不可达,从而阻止环跳进行。
        (2) 水平分割
        水平分割是过滤掉发送给原发者的路由信息。具体路由信息单向传送。
        (3) 毒性逆转
        水平分割的改进,收到原是自己发出的路由信息时,将这条信息跳数置成16,即毒化。
        (4) 触发方式
        一旦发现网络变化,不等呼叫,立即发送更新信息,迅速通知相邻路由器,防止误传。
        (5) 抑制时间
       在收到路由变化信息后,启动抑制时间,此时间内变化项被冻结,防止被错误地覆盖。

    三、OSPF路由协议
     1、OSPF的特点
        OSPF(Open Shortest Path First)开放式最短路径优先协议,
        使用L-S(Link State)算法的链路状态路由协议,路由算法复杂,适合大型网络,
        网络拓扑结构变化时,采用触发方式,组播更新,收敛快,要求更高的内存和CPU资源。
        LSA(Link State Advertisement)链路状态通告是以本路由器为根的最小路径优先树。
        LSDB(Link State DataBase)链路状态数据库,这是各个路由器的LSA的集合。
        每个路由器的LSA是不同的,但他们的集合LSDB是相同的。
        D-V算法只考虑下一跳,没有全局的概念,交给下一跳就完成任务,所以容易产生环路。
        L-S算法每个路由器可以根据网络整体结构决定路径,所以不会产生环。


     2、指定路由器与路由器标识
        指定路由器DR(Dezignated Router)是ospf路由交换的中心,数据通过DR进行交换。
        在路由器群组中优先级(Router Priority)值最高的为DR,次高的为备份指定路由器BDR。
        管理员可以通过设置优先级指定DB和BDR。优先级相同时,比较 router id。
        如果没有设置Router id,则以回环接口loopback ip值高的为DR,
        如果loopback ip 没有设置,取接口的IP地址中最高的为DR。

     3、建立路由表
        (1)Hello报文
           Hello报文用于发现新邻居问候老邻居,选举指定路由器DR和BDR。
        (2)DD报文(Database Description Packet)
           DD报文用LSA头head信息表示LSA的变化情况,将其发送给DR,DR再发给其它路由器。
        (3)LSR报文(Link State Request Packet)
           LSR是请求更新包,当LSDB需要更新时,将其发送给DR,点对点连接时直接同步LSDB。
        (4)LSU报文(Link State Update Packet)
           DR用多播Multicast地址224.0.0.6收,224.0.0.5发,同步整个区域的LSDB。
        (5)确认后计算路由:
           LSDB同步后,计算cost花费,考虑跳数、带宽、可靠性等综合因素求解最佳路径。

     4、单区域OSPF配置
        单区域OSPF配置是指运行OSPF协议的路由器在同一个区域area n,
        对于只有一个区域的网络,区域号是任意的,一般设置为0。
        单区域OSPF有三种连接情况:
        点对点的连接(Point to point)、
        广播方式的连接(Broadcast Multi Access Network)、
        非广播方式多点连接(Non Multi Access Network)。
        点对点连接结构最简单,可靠性高,工作稳定;
        以太网连接是典型的广播方式的连接;
        帧中继连接是属于的非广播方式多点连接类型。


     5、多区域OSPF的设置
        多区域中要求有一个是骨干区域area 0,边界路由器跨接两个区域。
        多区域的区域内部按单区域设置,多区域间通过边界路由器的连接。

        stub是末节区域,末节区域不接收ospf以外的路由信息,
        如果路由器想去往区域以外网络,要使用默认路由。
        只有多区域中才存在末节区域。末节区域要设置在边界路由器上。
        作为企业可以将分支区域设置为末节区域,
        分支区域不需要知道总部网络的细节,却能够通过缺省路由到达那里。


    四、访问控制列表
     1、访问控制列表类型与作用
        访问控制列表是对通过路由器的数据包进行过滤。
        过滤是根据IP数据包的5个要素:
        源IP地址、目的IP地址、协议号、源端口、目的进行的。

        访问控制列表有两类,标准访问控制例表和扩展的访问控制列表。
        标准访问列表:
        标准访问列表的列表号为1~99,只对源IP地址进行访问控制。
        扩展访问列表:
        扩展访问列表的列表号为100~199,可对源和目的地址、协议、端口号进行访问控制。
     2、访问控制列表的结构
        分三步:
        定义一个ACL:access-list <number> <permit|deny> <sourceIP wild|any>
        进入指定接口:interface <interface>
        绑定指定ACL:ip access-group <number> [in|out]

     3、访问控制列表匹配原则
        访问控制列表默认的是deny any。
        一般是逐行匹配,也可以设置深度匹配。
        所以写访问控制列表一般是从小的范围向大的范围,成为梯形结构。
        一般在访问控制表的最后一行要写permit any。

     4、命名方式的访问控制列表
        命名方式是用名称代替列表号,便于记忆,扩展了条目数量,可以是基本型或扩展型。
        命令方式ACL语法有些变化,支持删除一个列表中的某个语句。
        命名语法格式:
        roa(config)#ip access-list {standard|extended} name
        roa(config std nacl)#{deny|permit}]<S_ip><S_Wild>
        roa(config ext nacl)#{deny|permit}[protocol]<S_ip><S_Wild><D_ip><D_Wild>[op]
        第一行是定义命名方式访问控制列表类型:标准或扩展。
        第二行是标准命名方式的访问控制列表的语法格式。
        第三行是扩展命令方式的访问控制列表的语法格式。

    五、地址转换NAT
     1、NAT的认识
        NAT(Network Address Translate)是地址转换操作。
        NAT可以将局网中的私有IP转换成公有IP,解决了内部网络访问internet的问题。
        NAT可以做负载均衡,将内部多个服务器对外映射成一台服务器。
        定义:
        Inside local address: 内部网的私有IP。
        Inside global address: 内部网的公有IP。
        Outside global address: 互联网中的公有IP。
        Outside local address: 互联网中的公有IP对应的私有IP。

        NAT可分为原地址变换SNAT和目的地址变换DNAT。
        按工作方式划分,可分为静态NAT和动态NAT。
        SNAT命令中使用source参数,DNAT命令中使用destination参数。
        (对已连接的返回包可自动对应)

     2、静态NAT
        建立IP地址与IP地址之间一对一的就应关系
        设置:
        Router(config)#ip nat inside source static <ipa> <ipb>
        在接口inside中对IP地址一对一的进行变换,一般ipa是私网IP,ipb是公网IP。


     3、动态NAT
        动态NAT一般用于将局域网中的多个私有IP从公有IP地址池中提取公有IP对外访问。
        设内部局域网是:10.66.0.0,公网IP地址池为:60.1.1.1~60.1.1.8
        当内部网络要访问internet时,从公网IP地址池中提取公网IP对外访问。
        设置:
        定义地址池p1:
        Router(config)#ip nat pool p1 60.1.1.1 60.1.1.8 netmask 255.255.255.0
        定义访问控制列表1:
        Router(config)#access-list 1 permit 10.66.0.0 0.0.255.255
        将访问控制列表1的源地址,动态的从公网IP地址池p1的提取公网IP:
        Router(config)#ip nat inside source list 1 pool p1


     4、PAT
        PAT(Port Address Translate)是端口地址转换,将私有IP转换到公网IP的不同端口上。
        PAT是原将动态nat地址池pool改为用接口,并使用参数overload。属于动态NAT。
        设置:
        Router(config)#access-list 2 permit 10.66.0.0 0.0.255.255
        Router(config)#ip nat inside source list 2 interface s0/0 overload

     5、基于NAT的负载均衡
        NAT可以实现负载均衡。
        一般的NAT都是将内部私有IP转换为公网IP,连接方向从内部向外。
        而对于负载均衡是将一个公网IP翻译成多个内部私有IP,连接访问从外向内。
        例如:
        内部的www服务负载过重,可将多台同样的服务器,但对外映射成一个IP地址,
        内部的多台服务器成为捆绑在一起构成虚拟服务器,外部访问这个虚拟服务器时,
        路由器轮流指向各台服务器,从而达到负载均衡。
        设置:
        定义地址池p2,使用rotary参数轮循。
        ra(config)#ip nat pool p2 10.1.1.2 10.1.1.4 netmask 255.255.255.0 type rotary
        ra(config)#access-list 1 permit 60.1.1.1
        ra(config)#ip nat inside destination list 1 pool p2
        在指定接口inside中建立list 2与pool p2的对应关系。Destination表示转换目的地址。

     6、基于服务的NAT
        基于服务的NAT配置,细化了NAT的应用,转换可以具体到协议和端口,即指定的服务上。
        例如:
        对内网的虚拟服务器(使用一个公网IP)的访问:
        当访问TCP 20端口时就将它转到内部ftp服务上。
        当访问TCP 21端口时也将它转到内部ftp服务上。
        当访问TCP 80端口时就将它转换到内部的www服务器上。
        设置:
        Router(config)#ip nat inside source static tcp 10.65.1.2 20 60.1.1.1 20
        Router(config)#ip nat inside source static tcp 10.65.1.2 21 60.1.1.1 21
        Router(config)#ip nat inside source static tcp 10.65.1.3 80 60.1.1.1 80

    展开全文
  • 随着用户越来越多,IP地址耗尽促成了CIDR的开发,网络地址转换属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。...
  • 路由器原理

    2019-03-06 15:46:07
    在控制平面上,处理应用层和传输层的协议报文(RIP、OSPF、BGP等)。路由器间互通信息进行路由更新,依照拓扑结构动态生成路由表。在数据通道上,转发引擎从输入线路接收IP包后,分析修改包头,使用转发表查找输出...

    路由器是工作在网络互连层实现子网之间转发数据的设备。路由器内部可以划分为控制平面和数据通道。在控制平面上,处理应用层和传输层的协议报文(RIP、OSPF、BGP等)。路由器间互通信息进行路由更新,依照拓扑结构动态生成路由表。在数据通道上,转发引擎从输入线路接收IP包后,分析与修改包头,使用转发表查找输出端口,把数据交换到输出线路上。转发表是根据路由表生成的,其表项和路由表项有直接对应关系,但转发表的格式和路由表的格式不同,它更适合实现快速查找。
    在这里插入图片描述
    转发的主要流程包括线路输入、包头分析、数据存储、包头修改和线路输出。 IP包从不同的线路上到达路由器的接口卡,线路输入处理部分对它进行信号恢复、解码和CRC校验,然后放进输入FIFO。输入FIFO的数据要送入数据存储器,数据存储器可以是CPU控制主内存或逻辑控制的专用内存。新输入数据放在系统输入队列尾部,CPU或逻辑从输入队列取出报文进行分析,需要分析的内容主要是L3包头中的目的IP地址,有些情况也L3包头的其他部分,甚至包括L2和L4包头。包头分析首先滤掉IP头校验和有错的报文,然后确定是协议报文还是转发报文。协议报文送协议软件处理,转发报文要查转发表确定输出端口,查流分类表确定输出队列。 每个端口可以有若干个输出队列,他们对应于不同的优先级别。 输出队列调度模块根据特定的规则,把选中的报文交给输出FIFO。报文在进入输出FIFO之前,要修改包头。修改包头包括IP TTL值减一,更新IP头校验和,替换L2的地址等。线路输出处理部分从输出FIFO中取出数据,更新链路层CRC数值,然后编码,经信号调制发送到输出线路上。这就是IP包转发的基本流程,如果支持更多的IP业务,如ACL,NAT等,在上述流程中还要增加额外的过滤和处理。
    路由协议根据网络拓扑结构动态生成路由表。IP协议把整个网络划分为管理区域,这些管理区域称为自治域,自治域区号实行全网统一管理。这样,路由协议就有域内协议和域间协议之分。域内路由协议,如OSPF、IS-IS,在路由器间交换管理域内代表网络拓扑结构的链路状态,根据链路状态推导出路由表。 域内路由协议相邻节点之间,采用多播或广播方式通信。域间路由协议,如BGP,根据距离向量和过滤策略生成全网路由表。 域间路由协议相邻节点交换数据,不能使用多播方式,只能采用指定的点到点连接。域间路由协议不能使用缺省路由,BGP路由表必须表达IP网络全部子网的信息,所以路由表项较多。使用缺省路由后,路由表项的大小只受企业内部子网划分的影响。
    路由器的类型
    1、核心层(骨干级)路由器,位于网络中心,要求高速可靠(热备份/双电源/双数据通路等),用于实现企业级网络的互联。
    2、分发层(企业级)路由器,中大型企业和因特网服务供应商(ISP)或分级系统中的中级系统
    3、访问层(接入级)路由器,位于网络边缘,应用最广泛,主要用于中小企业和大型企业分支机构中。目前最常用的接入路由器是宽带路由器。
    下面是从C2(192.24.96.214)转发IP包到B4(192.24.96.165)的例子。
    1、C2(192.24.96.214)发现B4(192.24.96.165)不在子网内
    (192.24.96.192/27),发包给C2的默认网关C5 ,数据包目的地址设为(192.24.96.165),源地址是自己的地址(192.24.96.214)。
    2、路由器分析帧并与路由转发表比较,发现目的地址(192.24.96.165)与(192.24.96.128/26)相同的比特数最多。
    192.24.96.128/26 11000000.00011000.01100000.10000000
    192.24.96.165 11000000.00011000.01100000.10100101
    因此C5把数据包转给B5。
    3、B5接收到数据包,分析该包的目的地址在其子网,传给指定的目的地址(192.24.96.165)
    在这里插入图片描述
    常见路由器的攻击方式
    一、针对IP网络基础设施的攻击
    1、资源消耗攻击,源消耗攻击是DOS攻击的一种,一般使用一套分布的系统或主机,分为:
    A、直接攻击。攻击者通过IP能直达路由器或网络设备,则该路由器或网络设备成为攻击目标,使其被迫接受大量的攻击流量,造成瘫痪。
    B、过境攻击,攻击者不需要IP可达攻击目标,只需攻击中间IP路由器,使其无法工作,从而间接攻击目标
    2、欺骗攻击,攻击者使用虚假数据伪装的数据包,一般伪装IP地址,从而取得攻击目标的新人从而达到攻击目的。比较著名的MITM(中间人)攻击辨识欺骗攻击,攻击者在两个可信任主机之间截取一个合法通信进行伪装,便可读取交换资料,操纵交换信息。
    3、输协议攻击。这种攻击方式主要针对各种协议。
    A、UDP协议攻击,由于UDP本身没有安全认证,所以攻击者只要活得应用协议的认可便可注入虚假数据,通过伪装大量的IKE初始化请求来耗尽目标的IKE达到攻击目的。
    B、TCP协议攻击。由于TCP协议规定只有在数据包序号落在滑动窗口所定义的、未承认的序号范围内时,TCP才会处理数据。针对TCP的攻击有SYN flooding(SYN洪流)攻击。攻击者向目标发送很多被伪装过的TCP请求攻击目标,被攻击者会为其分配本地系统资源,最终耗尽系统资源。RST(复位)攻击。攻击者通过伪造五元组便可向目标发送带RST或同步标志设定的数据来复位一个已建立的TCP连接,最终及小成多,造成瘫痪。
    4、路由协议攻击:路由器中的BGP、OSPG、IS-IS等协议都被广泛的实施,攻击者便可利用这些协议漏洞进行攻击。
    二、针对第二层网络的攻击
    1、CAM溢出攻击:攻击者利用伪造MAC地址交换机的CAM表溢出,使之瘫痪。
    2、MAC欺骗攻击:攻击者伪造目标的MAC地址,拦截指定的帧,从中获取密码等。
    3、VLAN跳跃攻击:以太网内某个VLAN攻击者获得该区域其他VLAN主机的未经授权的接入从而达到攻击。
    4、专用VLAN攻击:攻击者可绕过PVLAN的准入限制,轻易的攻击孤立的主机。
    针对IP VPN攻击:
    1、MPLS VPN攻击。由于MPLS VPN的服务器是新人的。因此其通常很少或根本不用安全措施。但当攻击者在用户VPN中获得IP或以太网的连接后,便可发动攻击。
    2、针对用户边缘的攻击:CE路由器由于只能从分配好的用户VPN内部进行链接,因此其一般不易受到外部的攻击,但同时容易受到内部攻击和多路广播网络攻击。
    3、针对运营商边缘的攻击:MPLS VPN攻击和IP分段和重组攻击。
    4、针对运营商核心的攻击。由于缺乏IP可达性,核心路由器一般不会被直接攻击,但容易受到传输攻击。包括:ITL到期攻击,IP选项攻击和SLA攻击等。
    Smurf攻击利用合理的服务器请求,占用过多的服务器资源。
    一、防止外部ICMP重定向欺骗
    1、攻击者有时会利用ICMP重定向来对路由器进行重定向,将本应送到正确目标的信息重定向到它们指定的设备,从而获得有用信息。
    2、禁止外部用户使用ICMP重定向的命令:interface serial0 no ip redirects.
    二、防止外部源路由欺骗
    1、源路由选择是指使用数据链路层信息来为数据报进行路由选择。该技术跨越了网络层的路由信息,使入侵者可以为内部网的数据报指定一个非法的路由,这样原本应该送到合法目的地的数据报就会被送到入侵者指定的地址。
    2、禁止使用源路由的命令:no ip source-route.
    三、防止盗用内部IP地址
    1、攻击者可能会盗用内部IP地址进行非法访问。针对这一问题,可以利用灵科路由器的ARP命令将固定IP地址绑定到某一MAC地址之上。
    防止盗用内部IP地址命令:arp 固定IP地址 MAC地址 arpa.
    四、在源站点防止smurf
    1、要在源站点防止smurf,关键是阻止所有的向内回显请求。这就要防止路由器将指向网络广播地址的通信映射到局域网广播地址。
    2、在LAN接口方式中输入如下命令:no ip directed-broadcast
    五、关闭路由器上不用的服务
    路由器除了可以提供路径选择外,它还是一台服务器,可以提供一些有用的服务。路由器运行的这些服务可能会成为敌人攻击的突破口,为了安全起见,最好关闭这些服务。
    针对RIP协议的攻击
    RIP,即路由信息协议,是通过周期性(一般情况下为30S)的路由更新报文来维护路由表的,一台运行RIP路由协议的路由器,如果从一个接口上接收到了一个路由更新报文,它就会分析其中包含的路由信息,并与自己的路由表作出比较,如果该路由器认为这些路由信息比自己所掌握的要有效,它便把这些路
    由信息引入自己的路由表中。这样如果一个攻击者向一台运行RIP协议的路由器发送了人为构造的带破坏性的路由更新报文,就很容易的把路由器的路由表搞紊乱,从而导致网络中断。如果运行RIP路由协议的路由器启用了路由更新信息的HMAC验证,则可从很大程度上避免这种攻击。
    针对OSPF路由协议的攻击
    OSPF,即开放最短路径优先,是一种应用广泛的链路状态路由协议。该路由协议基于链路状态算法,具有收敛速度快,平稳,杜绝环路等优点,十分适合大型的计算机网络使用。OSPF路由协议通过建立邻接关系,来交换路由器的本地链路信息,然后形成一个整网的链路状态数据库,针对该数据库,路由器就可
    以很容易的计算出路由表。
    可以看出,如果一个攻击者冒充一台合法路由器与网络中的一台路由器建立邻接关系,并向攻击路由器输入大量的链路状态广播(LSA,组成链路状态数据库的数据单元),就会引导路由器形成错误的网络拓扑结构,从而导致整个网络的路由表紊乱,导致整个网络瘫痪。当前版本的WINDOWS 操作系统(WIN 2K/XP等)都实现了OSPF路由协议功能,因此一个攻击者可以很容易的利用这些操作系统自带的路由功能模块进行攻击。跟RIP类似,如果OSPF启用了报文验证功能(HMAC验证),则可以从很大程度上避免这种攻击。
    针对IS-IS路由协议的攻击
    IS-IS路由协议,即中间系统到中间系统,是ISO提出来对ISO的CLNS网络服务进行路由的一种协议,这种协议也是基于链路状态的,原理与OSPF类似。IS-IS路由协议经过 扩展,可以运行在IP网络中,对IP报文进行选路。这种路由协议也是通过建立邻居关系,收集路由器本地链路状态的手段来完成链路状态数据库同步的。该协议的邻居关系建立比OSPF简单,而且也省略了OSPF特有的一些特性,使该协议简单明了,伸缩性更强。对该协议的攻击与OSPF类似,通过一种模拟软件与运行该协议的路由器建立邻居关系,然后传颂给攻击路由器大量的链路状态数据单元(LSP),可以导致整个网络路由器的链路状态数据库不一致(因为整个网络中所有路由器的链路状态数据库都需要同步到相同的状态),从而导致路由表与实际情况不符,致使网络中断。与OSPF类似,如果运行该路由协议的路由器启用了IS-IS协议单元(PDU)HMAC验证功能,则可以从很大程度上避免这种攻击

    展开全文
  • 应用层 表示层 会话层 msconfig netstat -nb 传输层 可靠传输 :建立会话 流量控制 差错检查 不可靠传输 :不建立会话 节省服务器资源 网络层 选择最佳路径 数据链路层 网络设备 如何封装数据帧 设备地址MAC ...

    服务器
    客户机

    OSI参考模型

    应用层
    表示层
    会话层 msconfig  netstat -nb
    传输层 可靠传输	:建立会话 流量控制 差错检查
    			不可靠传输 :不建立会话 节省服务器资源
    网络层 	选择最佳路径
    数据链路层 网络设备 如何封装数据帧 设备地址MAC
    物理层 	电压标准 接口标准
    

    网络安全

    物理层安全
    数据链层安全 MAC地址认证 ASDL拨号上网账号密码 划分VLAN
    网咯层安全 路由器ACL
    传输层安全 端口安全
    应用层安全 网站安全 操作系统安全
    

    网络设备

    网线 双绞线 8根线 10,100M(使用4根) 1000M(使用8根线)
    		线序 直通线   同类设备 交叉线RX-T,TX-RX
    							  不同设备 直通线
    网卡 MAC 物理地址是硬件地址 不能更改 查看mac地址:ipconfig -all
    集线器 HUB 不安全 带宽共享 
    网桥
    交换器 基于MAC地址转发数据 安全 带宽共享 全双工通信 学习MAC
    路由器 负责在不同网段转发数据 一般有广域网接口 隔绝广播 目标MAC地址全1(FF)
    

    网络设备与OSI参考模型

    集线器   物理层设备
    交换机   基于MAC转发 数据链路层设备
    路由器   基于IP地址转发  三层设备
    

    TCP/IP协议

    传输层的两个协议

    可靠传输  	TCP 分段传输 建立会话(消耗系统资源) 丢失重传  netstat -n
    不可靠传输  UDP  一个数据包就能完整表达意思 屏幕广播
    

    应用层协议 默认端口

    http=TCP+80
    ft=TCP+20/21
    https=TCP+443
    SMTP=TCP+25
    POP3=TCP+110
    RDP=TCP+3389 远程
    DNS=UDP+53 域名解析
    IP地址访问Windows共享文件夹=TCP+445
    SQL=TCP+1433
    telent=TCP+23
    
    展开全文
  • 路由器查找引擎的设计要求 面向低成本的优化技术十分重要 各种转发表的查找能够共享存储器对可变长度查找支持灵活可其他应用统计计数器报文深度检查等共享存储器 对查找各种不同的表项可以有不同的性能要求每个表...
  • 1.交换机和路由器区别 (1)交换机: 交换机是一种基于MAC(网卡的硬件地址)识别,能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标...

    1.交换机和路由器区别

    (1)交换机:

        交换机是一种基于MAC(网卡的硬件地址)识别,能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。现在的交换机分为:二层交换机,三层交换机或是更高层的交换机。三层交换机同样可以有路由的功能,而且比低端路由器的转发速率更快。它的主要特点是:一次路由,多次转发。 

    (2)路由器:

        路由器亦称选径器,是在网络层实现互连的设备。它比网桥更加复杂,也具有更大的灵活性。路由器有更强的异种网互连能力,连接对象包括局域网和广域网。过去路由器多用于广域网,近年来,由于路由器性能有了很大提高,价格下降到与网桥接近,因此在局域网互连中也越来越多地使用路由器。路由器是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行“翻译”,以使它们能够相互“读”懂对方的数据,从而构成一个更大的网络。路由器有两大典型功能,即数据通道功能和控制功能。数据通道功能包括转发决定、背板转发以及输出链路调度等,一般由特定的硬件来完成;控制功能一般用软件来实现,包括与相邻路由器之间的信息交换、系统配置、系统管理等。

     

          路由器可以有wan口,宽带连接,静态ip地址,动态ip地址。

          交换机只有lan口,连接内网的,功能少。

          交换机是信箱,只负责收和发,路由器是投递员,按地址、区别信箱、分门别类、灵活机动地接收和投送。

     

    2. 进一步分析:

        路由器和交换机的区别在于:交换机只能在同网段下的环境工作,说白了就是它只是扩充了网口。而路由器是用于不同网段的子网间通信的,它能组成一个局域网,并且管理这个局域网。而且还有防火墙,DHCP服务器等。
        这里有一个现象可以解释:如果用交换机让4台电脑上网,就需要4个IP。而用路由器的话,只需要一个IP,这个IP给路由器,路由器再给下面局域网里的电脑分配IP。也就是说,交换机要4个IP的钱,路由器只要1个IP的钱。

    转载于:https://www.cnblogs.com/hebao0514/p/4868438.html

    展开全文
  • 目前路由器已经广泛应用于各行各业,各种不同档次的产品已经成为实现各种骨干网内部连接、骨干网间互联和骨干网互联网互联互通业务的主力军。  所谓路由就是指通过相互连接的网络把信息从源地点移动到目标地点的...
  • 交换机原理与应用 冲突域: 竞争同一宽带的节点集合。传统的基于共享式集线器的局域网中所有站点都处于同一个“冲突域“中 广播域: 接受同样广播消息的节点的集合。穿环己和HUB所组成网络是一个广播域。路由器的...
  • 路由器工作原理

    2009-04-18 13:14:09
    目前路由器已经广泛应用于各行各业,各种不同档次的产品已经成为实现各种骨干网内部连接、骨干网间互联和骨干网互联网互联互通业务的主力军。 路由器综述 路由器是互联网的主要节点设备。路由器通过路由决定数据的...
  • 目前路由器已经广泛应用于各行各业,各种不同档次的产品已经成为实现各种骨干网内部连接、骨干网间互联和骨干网互联网互联互通业务的主力军。  所谓路由就是指通过相互连接的网络把信息从源地点移动到目标地点的...
  • 由于多媒体等应用在网络中的发展,以及ATM、快速以太网等新技术的不断采用,网络的带宽速率飞速提高,传统的路由器已不能满足人们对路由器的性能要求。因为传统路由器的分组转发的设计实现均基于软件,在转发...
  • 路由器转发原理 路由器记录了 下一条地址、出接口参数、IP前缀、主要是记录了一些有利于更快转发数据的信息,也算是数据库吧 路由器IP前缀:ip地址网络前缀属于ip地址规划问题.是地址的网络部分相对应的ip地址部分...
  • 虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称VRRP)是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议,VRRP广泛应用在边缘网络中,它的设计目标是支持特定情况下IP数据流量失败转移...
  • 端口映射原理与应用

    千次阅读 2018-12-16 01:34:29
    但是有一个很严重的问题是,我是用的IP不是公网IP也就是说外网是访问不了我的计算机的,只能访问到路由器而我也只能通过路由器外界沟通,于是想到了使用端口映射。 2.什么是端口映射:  关于内外网:  在正式...
  • 路由原理与应用

    2013-04-10 13:32:50
    直连路由是与路由器直接相联网络的路由,路由器有对直连网络有转发能力。 静态路由是管理员人为设置的路由,网络开支小,可以有效的改善网络状况。 默认路由是静态路由的一个特例,将路由...
  • 访问控制列表(Access Control List,ACL)是应用路由器接口的指令列表,就是用来告诉路由器哪些数据可以接收,哪些数据不能接收,哪里来的数据可以接收,哪里来的数据不能接收。 ACL原理主要分为两个方向 出:...
  • BGP的原理与应用BGP动态路协议1、BGP概述1.1自治系统1.2动态路由的分类2、BGP工作原理3、BGP配置 BGP动态路协议 1、BGP概述 1.1自治系统 自治系统(AS)是由一个技术管理机构管理,使用统一选路策略的一组路由器集合...
  • 2.路由器工作原理:根据路由表转发数据包,路由表中有目的IP地址的网段,路由器就转发,没有就丢弃。 3.路由表的形成:  直连网段:当路由器上配置接口的IP地址,并且接口状态为UP时,路由表中出现直连路由项...
  • vrrp协议原理与应用

    2012-02-28 18:35:28
    1、VRRP作用及工作流程(如何选举master、主备如何切换、谁什么时候发送vrrp...VRRP协议通过交互报文的方法将多台物理路由器模拟成一台虚拟路由器,网络上的主机虚拟路由器进行通信。一旦VRRP组中的某台物理路由器...
  • 路由器图书推荐

    千次阅读 2012-05-29 11:12:13
    我工作一直没有离开IP网,自己平时除了看行标外,还喜欢看些书,思科的书自然不必说。最近没有什么路由器的书,...推荐的第一本《路由器原理与应用》[url=http://www.ptpress.com.cn/Book.aspx?id=6593]http://www.ptpr
  • 文中介绍了TPS2383的主要功能及I2C总线操作方法,给出了TPS2383的典型应用电路。 关键词:IEEE 802.3af标准;TPS2383;以太网供电;I2C总线以太网电源技术标准已于2003年6月由IEEE批准,编号为IEEE ...
  •  今天写程序,使用UDP协议,无论如何也不能绑定929端口,经仔细查找确认929端口已被其它应用程序占用,但具体的占用程序不能确定,所以,采取以下方法,用以确认被占用的应用程序,步骤如下: 1、在命令行中输入...
  • 5-1 IP协议为什么不提供对IP数据报数据区的校验功能?IP协议为什么要对IP数据报首部进行校验? 5-2 当IP数据报在路由器之间传输时,IP首部中的哪些字段必然发生变化,哪些字段可能发生变化?
  • Linux 是一种自由和开放源码...件设备中,从手机、平板电脑、路由器和视频游 戏控制台,到台式计算机、大型机和超级计算机。 Linux 是一个领先的操作系统,世界上运算最快 的10 台超级计算机运行的都是Linux 操作系统。

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 454
精华内容 181
关键字:

路由器原理与应用